注意！自2022年7月1日起，Sectigo证书将弃用OU字段

根据CA/B论坛最新规定：从2022年9月1日开始，所有CA颁发的可信SSL/TLS数字证书将不再使用OU字段。为遵循行业新规，提前应对SSL数字证书策略变更，Sectigo证书将从2022年7月1日弃用OU字段。

具体变更内容：

• 从7月1日开始，Sectigo不再签发含有OU字段信息的SSL数字证书，即变更生效后，新签和重签的企业级SSL证书（含EV SSL和OV SSL）、EV代码签名和OV代码签名证书将不再含有OU字段信息；
• 同时，Sectigo计划在4月1日前提供一个可选方案，即为每个账户临时开通“关闭”OU字段功能，以评估此次更改的影响力度。

OU字段到底是什么？

当申请购买SSL证书时，需要提交证书签名请求文件，即CSR文件，您可以在输入框中填写存储在证书中的元数据，其中Organization Unit (OU)字段即所在部门或单位，如下图：

（锐成CSR文件表单示例）
如果网站已安装SSL证书，可点击SSL证书详情，查看OU字段，请看下图示例：

（SSL证书的OU字段示例）

为什么弃用OU字段？

此次变更其原因在于CA/B 论坛担心该字段可能被滥用，因为它是一个缺乏实质性验证要求的自由格式字段。这意味着任何人都可以随意输入信息。

其次OU字段不能进行身份验证，它所包含的信息很杂，比如名称，DBA，商品名，商标，地址或是其他涉及特定自然人或法人的文本。如果OU字段填写不正确，或是被滥用，将可能导致证书验证失败等一系列问题。

弃用OU字段有哪些好处？

• 删除不必要的OU字段数据；
• 减少验证过程中与OU字段相关的问题；
• 防止公司名称、商标、单位等其他信息的被他人滥用。

此变更将影响哪些SSL数字证书？

此次更改主要影响第三方受信CA签发的扩展验证型和组织验证型 SSL / TLS证书，以及EV和OV代码签名证书。换句话说，自9月1日起，各大可信CA新签或重签的EV SSL，OV SSL证书以及EV代码签名证书和OV代码签名证书将不再包含OU字段，而Sectigo证书将提前从7月1日开始执行策略变更，DigiCert证书将在8月停止使用OU字段。

注意：先于生效日期前签发的SSL数字证书以及私有CA签发的证书不受此影响。

是否影响企业业务?

首先，绝大多数企业不会受此变化的影响！
大多数企业证书未使用OU字段，也没有依赖此字段内容构建相关技术或业务流程，对于这样的企业来说，此变更不会影响其业务运行。

然而，有一部分SSL数字证书确实使用了OU字段，而且企业可能基于OU字段的内容做了内置的技术需求，或者把它作为业务流程中有用的一部分，用于服务开通、服务部署和成本核算等。这些企业可能会受到从所有公共SSL证书中强制删除OU字段的影响。

所以，Sectigo将于 4月1日前为这些企业提供一个可选方案，让每个账户可临时关闭OU字段，这样企业客户可以在真实环境中对“关闭OU字段”进行测试，以评估这一变化的影响，随后可选择 "恢复"；从而在CA/B开始强制执行新规前给企业客户留足调整其技术或流程的时间。

来源锐成信息，转载请注明原文地址：https://www.racent.com/blog/o...